Materská spoločnosť služby správcu hesiel, LastPass, ktorá koncom roka 2022 odhalila, že trezory hesiel celej jej zákaznícka základňa bola teraz v rukách zločincov, oznámila, že šifrovacie kľúče pre niektoré z jej ďalších produktov boli skompromitovaný tiež.
Čo to znamená pre jeho používateľov?
Čo bolo porušenie údajov LastPass v roku 2022?
LastPass a jeho zákazníci nemali v roku 2022 najlepší rok. V auguste spoločnosť oznámila podhodnotené príspevok v blogu že zločinci mali prístup k vývojovému prostrediu LastPass, zdrojovému kódu a technickým informáciám. Jazyk bol upokojujúci a označoval „nezvyčajnú aktivitu“ a incident ako „vývoj“. Sekcia FAQ uistila zákazníkov, že ich trezory, heslá a hlavné heslá sú v bezpečí, pričom uviedla, že „neodporúčame žiadnu akciu v mene našich používateľov alebo správcov“.
O mesiac neskôr, po vyšetrovaní v spolupráci so spoločnosťou Mandiant, bol pôvodný blogový príspevok aktualizovaný, aby ešte viac utešil používateľov LastPass, že „žiadne dôkazy o tom, že by tento incident zahŕňal akýkoľvek prístup k zákazníckym údajom alebo šifrovaným trezorom hesiel“, a ďalej podporoval používateľov uznávame, že „bezpečnostné incidenty akéhokoľvek druhu sú znepokojujúce, ale [my] vás chceme uistiť, že vaše osobné údaje a heslá sú v bezpečí starostlivosť."
Koncom novembra 2022 bol však blog opäť aktualizovaný, a to v priznaní, ktoré sa votrelcom podarilo prelomiť, s „určitými prvkami informácií našich zákazníkov“.
nakoniec v aktualizácii z decembra 2022 vlastnil LastPass na skutočnosť, že zločincom sa podarilo preniknúť do trezorov s osobnými údajmi miliónov zákazníkov, ktoré obsahovali nezašifrované adresy URL a názvy stránok, ako aj šifrované používateľské mená a heslá spolu so záložnými údajmi vrátane mien zákazníkov, adries a telefónnych čísel, e-mailových adries, IP adries a čiastočnej kreditnej karty čísla.
LastPass sa opäť snažil obmedziť poškodenie reputácie a uviedol, že „uhádnutie hlavného hesla pomocou všeobecne dostupnej technológie na prelomenie hesiel by trvalo milióny rokov“.
Horšie prísť pre používateľov LastPass?
LastPass je nezávislá spoločnosť, ktorú vlastní GoTo (poskytovateľ SaaS, predtým známy ako LogMeIn), a zatiaľ čo porušenie LastPass získalo najviac Pozor, prvotným prienikom bola služba cloudového úložiska tretej strany, ktorú používajú GoTo aj LastPass. Keďže bol ohrozený LastPass, bol ohrozený aj GoTo. Aktérom hrozieb sa podarilo exfiltrovať šifrované zálohy z oboch spoločností.
23. januára 2023 GoTo zverejnilo vyhlásenie na svojom blogu uvádzajúc, že „má dôkazy, že aktér hrozby prenikol do šifrovacieho kľúča pre časť šifrovaných záloh“, a navyše, že Nastavenia viacfaktorového overenia (MFA). malej podskupiny ich zákazníkov.
To znamená, že zločinci môžu ľahko dešifrovať svoj ukradnutý tovar bez toho, aby na to museli čakať milióny rokov.
Nie je isté, či boli exfiltrované aj šifrovacie kľúče trezora LastPass.
Správy o ohrození trezorov LastPass
Takmer hneď po zverejnení decembrovej aktualizácie bolo MUO kontaktované čitateľmi s tvrdením, že ide o jednorazové heslá uložené iba v trezoroch LastPass používali zločinci na prístup k online účtom, čo viedlo k výmene SIM karty útokov.
Na Twitteri používatelia uviedli, že krypto peňaženky boli napadnuté a ich obsah bol vyčerpaný – tieto semená boli údajne uložené výlučne v trezoroch LastPass.
LastPass sa zatiaľ nezaoberal týmito fámami ani odhaleniami svojej materskej spoločnosti.
GoTo aspoň začalo kontaktovať dotknutých používateľov a všetky heslá boli automaticky resetované.
Zmeňte svoje heslá pre všetko
Existujú služby správy hesiel, aby boli vaše heslá v bezpečí a neuhádnuteľné. Ak majú zločinci kľúče k tomuto trezoru, vaše heslá môže použiť ktokoľvek, ako chce.
Prvá vec, ktorú by ste mali urobiť, je zmeniť si heslá pre každú službu, ku ktorej ste kedy pristupovali online. Ak je to možné, mali by ste použiť aj jedinečné používateľské meno a e-mailovú adresu.
Nikdy nie je dobrý nápad zveriť svoje najhlbšie tajomstvá niekomu inému, aby ich chránil. BitWarden je správca hesiel, ktorý môžete hostiť na svojom vlastnom hardvéri a ktorý vygeneruje používateľské mená, e-mailové aliasy a heslá pre každú stránku, ktorú navštívite. Keď ho spustíte na vlastnom počítači, nemusíte svoje heslá nechávať na pochybnú starostlivosť inej spoločnosti.